Tous les traitements de données, en dehors des cas prévus aux articles 32 et 37 de la loi 2017-020 sur la protection des données à caractère personnel, doivent faire l'objet d'une déclaration auprès de l' Autorité de Protection des Données à caractère personnel.
La déclaration, conforme à un modèle établi par l' Autorité de Protection des Données à caractère personnel, comporte l'engagement que le traitement satisfait aux exigences de la loi.
L' Autorité de Protection des Données à caractère personnel atteste, par un accusé de réception, que la déclaration requise a bien été faite et délivre immédiatement un récépissé qui permet au demandeur de mettre en œuvre le traitement envisagé.
Seul le récépissé donne droit à la mise en œuvre d'un traitement.
Lorsque des traitements de données à caractère personnel relèvent d'un même organisme et ont des finalités identiques ou liées entre elles, ils peuvent faire l'objet d'une déclaration unique.
Dans ce cas, les informations requises en application de l'article 43 de la loi ne sont fournies pour chacun des traitements que dans la mesure où elles lui sont propres.
Pour les catégories les plus courantes de traitements de données à caractère personnel dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés des
individus, l' Autorité de Protection des Données à caractère personnel établit et publie des normes destinées à simplifier ou à exonérer l'obligation de déclaration.
Les normes relatives à la déclaration simplifiée précisent :
- les finalités des traitements faisant lobjet d'une déclaration simplifiée;
- les données à caractère personnel ou catégories de données à caractère personnel traitées ;
- la ou les catégories de personnes concernées;
- les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées;
- la durée de conservation des données à caractère personnel.
Ces normes peuvent prendre en compte les codes de conduite homologués par l' Autorité de Protection des Données à caractère personnel.
L' Autorité de Protection des Données à caractère personnel peut définir, parmi les catégories de traitements visées, celles qui sont dispensées de déclaration. Pour ce faire, l'Autorité de Protection des Données à caractère personnel tient compte de leurs finalités, de leurs destinataires ou catégories de destinataires, des données à caractère per sonnel traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées.
Dans les mêmes conditions, l' Autorité de Protection des Données à caractère personnel peut autoriser les responsables de certaines catégories de traitement à procéder à une déclaration unique.